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Kontrollierte Ausfiihrung eines fiir eine virtuelle Maschine 
vorgesehenen Programms auf einem tragbaren Datentrager 



5 Die Erfindung betrifft allgemein das technische Gebiet der Ausfuhrung eines 
fiir eine virtuelle Maschine vorgesehenen Programms auf einem tragbaren 
Datentrager, der einen Prozessor aufweist. Ein derartiger tragbarer Daten- 
trager kann insbesondere eine Chipkarte in unterschiedlichen Bauformen 
oder ein Chipmodul sein. Spezieller betrifft die Erfindung die kontrollierte 
10 Programmausfuhrung, urn Stftrungen oder Angriffe zu erkennen und um zu 
verhindern, dafi die Sicherheit des tragbaren DatentrSgers durch solche 
StOrungen oder Angriffe kompromittiert wird. 

Tragbare Datentrager, die eine virtuelle Maschine zur Ausfuhrung von 
15 Programmen aufweisen, sind z.B. unter der Marke Java Card*™ bekannt. 
Solche Datentrager sind in Kapitel 5.10.2 des Buches "Handbuch der 
Chipkarten" von W. Rankl und W. Effing, Hanser Verlag, 3. Auflage, 1999, 
Seiten 261 - 281, beschrieben. Eine ausfuhrliche Spezifikation des Java-Card- 
Standards, der dabei verwendeten virtuellen Maschine JCVM (Java Card 
20 Virtual Machine) und der ausgefuhrten Programme (Java Card Applets) findet 
sich auf den Internet-Seiten der Firma Sun Microsystems, Inc., unter 
htt^://java.sunxom/products/javacard. 

Tragbare Datentrager werden haufig fur sicherheitskritische Anwendungen 
25 eingesetzt, beispielsweise im Zusammenhang mit Finanztransaktionen oder 
bei der elektronischen Signatur von Dokumenten. Es sind bereits Techniken 
zum Angriff auf tragbare Datentrager bekannt geworden, bei denen die Pro- 
grammausfuhrung durch exteme Beeinflussung gestort wird. Eine solche 
Storung kann insbesondere durch Spannungsimpulse, Einwirkung von 
30 Warme oder Kalte, elektrische oder magnetische Felder, elektromagnetische 
Wellen oder Teilchenstrahlimg verursacht werden. So ist es z.B. mOglich, 
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durch Lichtblitze auf den freigelegten Halbleiterchip des tragbaren Datentra- 
gers Registerinhalte im Prozessor oder Speicherinhalte zu verSndern. Durch 
eine derartige StSrung kann mOglicherweise die Sicherheit des DatentrSgers 
kompromittiert werden, wenn z.B. der Datentrager einen fehlerhaft ver- 
5 schlusselten Text ausgibt, dessen Analyse Riickschltisse auf einen geheimen 
Schliissel zulafit. 

Es besteht daher das Problem, einen Datentrager der eingangs genannten Art 
gegen eine Kompromittierung durch Angriffe abzusichern, bei denen die 
10 Ausftihrung eines Programms durch eine virtuelle Maschine gestort wird. 

Aus GB 2 353 113 A ist ein Computernetz bekannt, das Softwarefehler in 
gewissem Umf ang auszugleichen vermag. Bei diesem Computernetz sind 
mindestens zwei Rechner vorgesehen, die je eine virtuelle Maschine ausfuh- 
15 ren. Wenn ein f ehlerhafter Ablauf einer der virtuellen Maschinen f estgestellt 
wird, wird die Programmausfiihrung durch die andere virtuelle Maschine 
bzw. die anderen virtuellen Maschinen fortgesetzt. 

Das aus GB 2 353 113 A bekannte System ist gattungsfremd, da es nicht fiir 
20 einen tragbaren Datentrager, sondern flir ein komplexes Netz mit mehreren 
Computern vorgesehen ist. Die virtuellen Maschinen werden von mehreren 
Prozessoren ausgefuhrt, die nur lose aneinander gekpppelt sind. Die Pro- 
grammausfuhixing wird auch bei einer Stoning einer virtuellen Maschine 
fortgesetzt. Zur Anwendung bei einem tragbaren Datentrager mit einem 
25 einzigen Prozessor eignet sich diese Lehre nicht. 

Die Erfindung hat demgemafi die Auf gabe, die Probleme des Standes der 
Technik zumindest zum Teil zu vermeiden und eine Technik zur kontrollier- 
ten Ausfuhrung eines fur eine virtuelle Maschine vorgesehenen Programms 
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auf einem tragbaren Datentrager bereitzustellen, durch die Sicherheitsrisiken 
bei einem Angriff oder einer Betriebsstorung vermieden werden. In bevor- 
zugten Ausgestaltungen soli ein zuverlassiger Schutz bei mOglichst geringen 
Leistungseinbufien des tragbaren Datentragers erreicht werden. 

5 

Erfindungsgemafi wird diese Aufgabe ganz oder zum Teil gelost durch ein 
Verf ahren mit den Merkmalen des Anspruchs 1, einen tragbaren Datentrager 
mit den Merkmalen des Anspruchs 10 und ein Computerprogrammprodukt 
mit den Merkmalen des Anspruchs 11. Die abhangigen Ansprtiche betreffen 
10 bevorzugte Ausgestalttingen der Erfindung. 

Die Erfindung beruht auf der Grundidee, von dem einen Prozessor des trag- 
baren Datentragers mehrere virtuelle Maschinen ausfiihren zu lassen, die 
ihrerseits ein und dasselbe Programm ausfiihren. Durch diese Mafinahme 
15 ergibt sich eine Redundanz bei der Programmausfuhrung, die zur Erken- 
nung von Fehlfunktionen eingesetzt werden kann. Es ist ein tlberraschendes 
Ergebnis der vorliegenden Erf indxmg, dafi eine derartige Redundanz auch 
bei einem tragbaren Datentr&ger mit nur einem einzigen Prozessor erzielt 
werden kann. 

20 

Erfmdungsgemafi wird die Ausfuhrung des Programms abgebrochen, falls 
eine Abweichung der Betriebszustande der virtuellen Maschinen voneinan- 
der festgestellt wird. Es wird also nicht versucht, eine der virtuellen Maschi- 
nen als korrekt arbeitend zu identifizieren und die Progranunausfuhrimg 
25 mit dieser virtuellen Maschine f ortzusetzen. Durch den erfindungsgemafi 
vorgesehenen Programmabbruch wird eine besonders hohe Angriffssicher- 
heit erreicht. 
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Die Erfindung bietet den erheblichen Vorteil, dafi sie problemlos auf tiblicher 
Hardware implementiert werden kann. Oberdies ist keinerlei Anpasstmg des 
auszuftihrenden Programms an den erfindungsgem&Gen Angriffsschutz er- 
f orderlich. Alle ftir die standardgem&Ge virtuelle Maschine vorgesehenen 
5 Programme laufen unver&ndert auf den erfmdungsgemafi ausgestalteten 
Datentragern, was die Akzeptanz der Erfindung sehr f ordert 

Bei der Oberprtifung der BetriebszustSnde der virtuellen Maschinen auf 
t)bereinstimmung findet vorzugsWeise kein vollstandiger Vergleich statt. 
10 Vielmehr ist in bevorzugten Ausftihrungsformen lediglich ein Vergleich von 
Inhalten einiger wichtiger Register und/oder Speicherinhalten vorgesehen. 
Solche wichtigen Register konnen beispielsweise die Programmzahler 
imd/ oder die Stapelzeiger der virtuellen Maschinen sein. Als Beispiel fur 
wichtige Speicherinhalte, die in manchen Ausgestaltungen der Erfindxmg 
i- 15 miteinander verglichen werden, ist das jeweils jtingste ("oberste") Element in 
den Stapelspeichern der virtuellen Maschinen zu nennen. 

Da die virtuellen Maschinen auf dem tragbaren Datentrager von einem 
einzigen Prozessor ausgefuhrt werden, erfolgt in der Regel ein ineinander 
20 verzahnter (interleaved) Programmablauf . Dies schiiefit jedoch nicht aus, dafi 
einzelne Operationen echt parallel ausgefuhrt werden, wenn der Prozessor 
des tragbaren Datentragers dazu eingerichtet ist. 

Die Oberpriifung der Betriebszustande der virtuellen Maschinen kann zu 
25 beliebigen Zeitpunkten erf olgen, an denen die virtuellen Maschinen - bei 
f ehlerfreiem Ablauf - identische Zustande aufweisen mtifiten. Obwohl die 
TJberprufung also prinzipiell nicht an die Befehlsgrenzen des ausgefuhrten 
Programms gebunden ist, ist in bevorzugten Ausftihrungsformen vorgese- 
hen, diese "Oberprtifung nach jeder Ausftihrung eines Befehls des Pro- 
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gramms durch die virtuellen Maschinen vorzunehmen. In alternativen 
Ausgestaltungen kann der Abgleich der virtuellen Maschinen entweder 
schon nach der Ausftihrung von Teilen von Bef ehlen oder jeweils erst nach 
der Ausfuhrung mehrerer Bef ehle erf olgen. 

5 

Vorzugsweise wird jeder Bef ehl des Programms zunSchst von der ersten 
und dann von der zweiten virtuellen Maschine ausgeftihrt. In manchen 
Ausgestaltungen wird hierbei zunachst die Ausfuhrung des Befehls von der 
ersten virtuellen Maschine beendet, bevor der Prozessor des tragbaren 

10 Datentragers mit der Ausfuhrung des Befehls dtirch die zweite virtuelle 

Maschine beginnt. In anderen Ausgestaltungen kann der Prozessor dagegen 
mehrere Teilabschnitte des Befehls jeweils zunachst auf der ersten und dann 
auf der zweiten virtuellen Maschine ausftihren, sof ern nur die erste virtuelle 
Maschine nicht gegenuber der zweiten virtuellen Maschine ins Hintertreffen 

15 gerat. 

Durch den Einsatz von mindestens zwei - in manchen Ausfuhixingsformen 
auch mehr - virtuellen Maschinen verringert sich die fur jede virtuelle 
Maschine bereitstehende Rechenleistung entsprechend. Hinsichtlich der 
20 tatsSchlichen Programmlauf zeit ist jedoch zu berucksichtigen, dafi bei einem 
typischen tragbaren Datentrager viel Zeit fiir SchreibvorgSnge in einen nicht- 
fluchtigen Speicher des Datentragers benatigt wird. 

In bevorzugten Ausfuhrungsformen ist deshalb vorgesehen, dafi die virtu- 
25 ellen Maschinen auf einen gemeinsamen Heap (Hauf en oder Halde) im 
nicht-fluchtigen Speicher des tragbaren Datentragers zugreifen, wobei 
Schreibvorgange nur von einer der virtuellen Maschinen ausgeftihrt werden. 
Die andere virtuelle Maschine oder die anderen virtuellen Maschinen kann/ 
kftnnen entweder den Schreibvorgang ganz tiberspringen oder statt des 
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Schreibvorgangs tlberprtif en, ob an der zu beschreibenden Stelle im Speicher 
bereits der einzuschreibende Wert enthalten ist. Falls das auszufiihrende 
Programm viele Schreibvorgange in den Heap enthalt, benOtigen diese einen 
wesentlichen Teil der Gesamtlaufzeit. Durch den Einsatz der gerade be- 
5 schriebenen Ausfiihrungsf orm der Erf indung bleibt dieser Teil der Gesamt- 
laufzeit unverandert, wahrend nur die reine Rechenzeit des Prozessors - die, 
wie erwahnt, weniger ins Gewicht fsllt - ansteigt. 

Der erfindungsgem&Ge tragbare Datentrager ist vorzugsweise als Chipkarte 
10 oder Chipmodtil ausgebildet. Das erfindungsgemafie Computerprogramm- 
. produkt weist Programmbef ehle auf, urn das erfindungsgemafie Verf ahren 
zu implementieren. Ein derartiges Computerprogrammprodukt kann ein 
k5rperliches Medium sein, beispielsweise ein Halbleiterspeicher oder eine 
Diskette oder eihe CD-ROM, auf dem ein Programm zur Ausftihrung eines 
15 erfindungsgemafien Verfahrens gespeichert ist. Das Computerprogramm- 
produkt kann jedoch auch ein nicht-k5rperliches Medium sein, beispiels- 
weise ein tiber ein Computernetzwerk ubermitteltes Signal. Das Computer- 
programmprodukt kann insbesondere zur Verwendung im Zusammenhang 
mit der Herstellung und/oder Initialisienmg und/oder Persdnalisierung 
20 von Chipkarteh oder sonstigen Datentragem vorgesehen sein. 

In bevorzugten Ausgestaltungen weisen der Datentrager und/ oder das 
Computerprogrammprodukt Merkmale auf, die den oben beschriebenen 
und/oder den in den abhangigen Verfahrensansprtichen genannten Merk- 
25 malen entsprechen. 

Weitere Merkmale, Vorteile und Auf gaben der Erfindung gehen aus der fol- 
genden genauen Beschreibxmg eines AusfUhrungsbeispiels imd mehrerer 
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Ausftihrungsalternativen hervor. Es wird auf die schematischen Zeichnun- 
gen verwiesen, in denen zeigen: 

Fig. 1 ein Blockdiagramm mit Funktionseinheiten eines tragbaren Daten- 
5 tragers nach einem Ausfuhrungsbeispiel der Erfindung, 

Fig. 2 eine konzeptuelle Darstelhing von Komponenten, die bei der Pro- 
grammausfuhrxing durch den tragbaren Datentrager aktiv sind, 

10 Fig. 3 ein Flufidiagramm einer wahrend der Programmausfuhrung fiir jeden 
Programmbef ehl durchlaufenen Hauptschleif e, und 

Fig. 4 ein Flufidiagramm der Uberprtifung der Betriebszust&nde der virtu- 
ellen Maschinen auf Ubereinstimmttng. 

15 

Der in Fig. 1 dargestellte Datentrager 10 ist im vorliegenden Ausfiihrungs- 
. beispiel als Chipkarte gemSfi dem Java-Card-Standaxd ausgestaltet. Der Da- . 
tentrSger weist auf einem einzigen Halbleiterchip einen Prozessor 12, meh~ 
rere in xmterschiedlichen Technologien ausgestaltete Speicherfelder und eine 

20 Schnittstellenschaltung 14 zur kontaktlosen oder kontaktgebundenen Kom- 
munikation auf. Im vorliegenden Ausfuhrungsbeispiel sind als Speicherfel- 
der ein Arbeitsspeicher 16, ein Festwertspeicher 18 und ein nicht-fltichtiger 
Speicher 20 vorgesehen. Der Arbeitsspeicher 16 ist als RAM, der Festwert- 
speicher 18 als maskenprogrammiertes ROM und der nicht-fliichtige Spei- 

25 cher 20 als elektrisch lSsch- und programmierbares EEPROM ausgestaltet. 
Schreibzugriff e auf den nicht-fltichtigen Speicher 20 sind relativ aufwendig 
und benotigen beispielsweise die dreifiigf ache Zeit eines Lesezugriffs. 
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Im Festwertspeicher 18 - und zum Teil auch im rucht-fltichtigen Speicher 20 
- ist ein Betriebssystem 22 enthalten, das eine Vielzahl von Funktionen und 
Diensten bereitstellt. Unter anderem weist das Betriebssystem 22 ein Code- 
modul 24 auf, das eine virtuelle Maschine - im vorliegenden Ausfuhrungs- 
5 beispiel eine JCVM (Java Card Virtual Machine) - implementiert. 

In Fig. 1 ist beispielhaft ein auszuftihrendes Programm 26 im nicht-fltichti- 
gen Speicher 20 gezeigt, das im vorliegenden Ausftihrungsbeispiel als Java 
Card Applet ausgestaltet ist. Das Programm 26 kann auch ganz oder teilweise 
10 im Festwertspeicher 18 enthalten sein, und es konnen weitere Programme 
zur Ausftihrung durch den tragbaren Datentrager 10 vorgesehen sein. Ein 
Bereich im nicht-fltichtigen Speicher 20 ist als Heap 28 (Hauf en oder Halde) 
reserviert, um wahrend der Programmausftihrung Objekte und andere 
Datenstrukturen aufzunehmen. 

15 

Um das Programm 26 auszuftihren, startet der Prozessor 12 unter Steuerung 
des Betriebssystems 22 zwei Instanzen des Codemoduls 24, die je eine virtu- 
elle Maschine VM, VM' bilden. Wie in Fig. 2 dargestellt ist, fiihren die beiden 
virtuellen Maschinen VM, VM 1 ein und dasselbe Programm 26 aus, das im 
20 nicht-fltichtigen Speicher 20 nur einmal vorliegt. Die beiden virtuellen Ma- 
schinen VM, VM' greifen daher, wenn sie einen Befehl des Programms 26 
holen, auf identische Adressen im nicht-fltichtigen Speicher 20 zu. 

Die beiden virtuellen Maschinen VM, VM 1 ftihren wahrend des Programm- 
25 ablaufs Zugriffsoperationen auf den gemeinsamen Heap 28 aus. Auch hier 
sind die im Heap 28 gespeicherten Objekte und Datenstrukturen jeweils nur 
einmal vorhanden. Die erste virtuelle Maschine VM ftihrt auf dem Heap 28 
sowohl Leseoperationen R als auch Schreiboperationen W aus. Die zweite 
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virtuelle Maschine VM 1 fiihrt dagegen zwar Leseoperationen R ! aus, aber 
keine Schreiboperationen, sondern Verifikationsoperationen V. 

Die virtuellen Maschinen VM, VM' weisen jeweils eigene Register auf, von 
5 denen in Fig. 2 je ein ProgrammzShler PC, PC 1 und ein Stapelzeiger SP, SP' 
gezeigt sind. Diese Register sind im Arbeitsspeicher 16 angelegt oder werden 
durch Register des Prozessors 12 implementiert. Ferner weist jede virtuelle 
Maschine VM, VM' einen eigenen Stapelspeicher ST, ST' auf, der in je einem 
Bereich des Arbeitsspeichers 16 angelegt ist. Die jeweils jiingsten ("obersten") 
10 Eintrage in den Stapelspeichern ST, ST', auf die die jeweiligen Stapelzeiger 
SP, SP' verweisen, sind in Fig. 2 durch @SP und @SP' gekennzeichnet. 

Bei der Ausftihrung des Programms 26 fiihrt das Betriebssystem 22 die in 
Fig. 3 gezeigte Schleife aus. Fur jeden Befehl des Programms 26 erfolgt ein 

15 Schleifendurchlauf . Der Befehl wird zunachst in Schritt 30 von der ersten 
virtuellen Maschine VM ausgeftihrt Hierbei bestehen im Vergleich zu der 
Prograznmausfiihrxmg bei einem System nach dem Stand der Technik durch 
eine einzige virtuelle Maschine keine Unterschiede. Insbesondere verwaltet 
die erste virtuelle Maschine ihre Register PC und SP sowie den Stapel- 

20 speicher ST und fiihrt gegebenenfalls eine Leseoperation R und/oder eine 
Schreiboperation W auf dem Heap 28 durch. 

Wenn die Befehlsausfuhnmg durch die erste virtuelle Maschine VM abge- 
schlossen ist, fiihrt die zweite virtuelle Maschine VM' in Schritt 32 denselben 
25 Befehl des Programms 26 nochmals aus. Auch hier erf olgen die Verwaltung 
der Register PC und SP', die Verwaltung des Stapelspeichers ST' sowie 
gegebenenfalls eine Operation R' des Lesens vom Heap 28 auf tibliche Weise. 
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Die Befehlsausfuhrung durch die zweite virtuelle Maschine VM' unterschei- 
det sich jedoch von der BefeWsausfuhrung durch die erste virtuelle Maschi- 
ne VM dadurch, dafi start einer durch den Bef ehl gegebenenf alls vorgegebe- 
nen Schreiboperation eine Vergleichsoperation V ausgefiihrt wird, bei der 
5 der eigentlich in den Heap 28 zu schreibende Wert mit dem aktuellen Inhalt 
des Heaps 28 an der zu beschreibenden Adresse verglichen wird. Wenn die 
BerechnungsvorgSnge der beiden virtuellen Maschinen VM, VM 1 tiberein- 
stimmen, dann hat die erste virtuelle Maschine VM in Schritt 30 den nun in 
Schritt 32 von der zweiten virtuellen Maschine VM' bestimmten Wert bereits 

10 in den Heap 28 eingeschrieben. Die Verifikationsoperation V in Schritt 32 
ergibt daher eine tJbereinstimmung, und der Berechnungsablauf wird f ort- 
gesetzt. Wird in Schritt 32 dagegen eine Abweichung der Werte f estgestellt, 
so deutet dies auf eine Fehlfunktion einer der virtuellen Maschinen VM, VM 1 
hin. Die Programmausfuhrung wird dann als fehlerhaft abgebrochen. Diese 

15 Moglichkeit ist in Fig. 3 durch einen gestrichelten Pfeil angedeutet. 

Nach der Ausfuhrung des Programmbef ehls durch beide virtuellen Maschi- 
nen VM, VM' wird nun in Schritt 34 gepruft, ob die erreichten Betriebszu- 
stande der beiden virtuellen Maschinen ubereinstimmen. Dazu werden im 

20 hier baschriebenen Ausfuhrungsbeispiel nur einige Register- und Speicher- 
werte auf Obereinstiinmung geprtift, wie dies in Fig. 4 gezeigt ist. ZunSchst 
wird in Teilschritt 34.1 uberpruft, ob die beiden ProgrammzShler PC, PC 
nach der Befehlsausfuhrung denselben Wert aufweisen. Ist dies der Fall, so 
erfolgt in Teilschritt 34.2 eine Uberprufung der beiden Stapelzeiger SP, SP 

25 auf tJbereinstimmung. Wenn auch dieser Test erfolgreich ist, wird in Teil- 
schritt 34.3 tiberpriift, ob die jeweils jiingsten EintrSge @SP, @SP' in den 
Stapelspeichern ST, ST 1 , also die Eintrage, auf die die Stapelzeiger SP, SP' 
verweisen, identisch sind. 
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Wenn bei alien drei Abfragen 34.1, 34.2 , 34.3 eine tJbereinstimmung f estge- 
stellt worden ist, so wird in Schritt 34 (Fig. 3) von einer korrekten Programm- 
ausfiihrung durch die beiden virtuellen Maschinen VM, VM ! ausgegangen. 
Es erf olgt dann ein Rticksprung zum Anf ang der Schleif e, und der nSchste 
5 Befehl des Programms 26 wird zunMchst durch die erste und dann durch die 
zweite virtuelle Maschine VM, VM' ausgefuhrt. 

Ergibt sich bei der Zustandsuberpriifung in einem der drei Teilschritte 34.1, 
34.2, 34.3 jedoch eine Abweichung, so deutet dies axif eine Fehlfunktion einer 

10 der beiden virtuellen Maschinen VM, VM 1 hin. Dies wiederum wird als Indiz 
fur eine StOrung oder einen Angriff auf die Hardware des tragbaren Daten- 
tragers 10 erachtet. Da der Prozessor 12 die Schritte 30 und 32 streng nach- 
einander ausftihrt, ist bei einem Angriff z.B. durch einen Lichtblitz nur die 
Funktion einer der beiden virtuellen Maschinen VM, VM ! betroffen. Selbst 

15 bei rasch auf einanderf olgenden Lichtblitzen ware es unwahrscheinlich, dafi 
beide virtuellen Maschinen VM, VM 1 in gleicher Weise gestOrt werden 
wtirden. 

Wird in Schritt 34 eine Abweichung der Betriebszustande festgestellt, so 
20 wird die Programmausfuhrung als f ehlerhaft abgebrochen. Das Betriebs- 

, system 22 bringt dann den Datentrager 10 in einen sicheren Zustand. Hierbei 
ist insbesondere zu beachten, dafi der Datentrager 10 nach einem Programm- 
abbruch keine Ausgabeoperationen mehr durchfuhren soil. Je nach den an 
den Datentrager 10 gestellten Sicherheitsanf orderungen kann vorgesehen 
25 sein, dalS der Datentrager 10 nach einem regul&ren Rticksetzvorgang (reset) 
wieder einsatzbereit ist, oder es kann eih besonderer Freischaltvorgang ge- 
fordert werden, oder der Datentrager 10 kann ganzlich deaktiviert werden. 



1. Verfahren zur kontrollierten Ausfiihrung eines fur eine virtuelle 
Maschine (VM, VM 1 ) vorgesehenen Programms (26) auf einem 
tragbaren Datentrager (10), wobei 

der Datentrager (10) einen Prozessor (12) aufweist, der minde- 
stens eine erste und eine zweite virtuelle Maschine (VM, VM 1 ) 
ausfuhrt,. 

das Programm (26) sowohl von der ersten als auch von der zwei- 
ten vixtuellen Maschine (VM, VM') ausgefuhrt wird, 
der Betriebszustand der ersten virtuellen Maschine (VM) und der . 
Betriebszustand der zweiten virtuellen Maschine (VM 1 ) wahrend 
der Ausfiihrung des Programms (26) auf tJbereinstimmung uber- 
priift werden, und 

die Ausfiihrung des Programms (26) abgebrochen wird, falls eine 
Abweichung des Betriebszustands der ersten virtuellen Maschine 
(VM) von dem Betriebszustand der zweiten virtuellen Maschine 
(VM 1 ) f estgestellt wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet,. dafi die 
Oberpriifung des Betriebszustands der ersten virtuellen Maschine 
(VM) und des Betriebszustand der zweiten virtuellen Maschine 
(VM 1 ) auf tJbereinstimmung eine IJberprtifung umfafit, ob der 
Stand eines Programmzahlers (PC) der ersten virtuellen Maschine 
(VM) gleich dem Stand eines Programmzahlers (PC) der zweiten 
virtuellen Maschine (VM 1 ) ist 

3. Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekenn- 
zeichnet, dafi die Uberprufung des Betriebszustands der ersten 
virtuellen Maschine (VM) und des Betriebszustand der zweiten 



virtuellen Maschine (VM 1 ) auf Obereinstimmung eine Oberprii- 
fung umf afit, ob der Stand eines Stapelzeigers (SP) der ersten 
virtuellen Maschine (VM) gleich dem Stand eines Stapelzeigers 
(SP) der zweiten virtuellen Maschine (VM') ist 

Verf ahren nach einem der Anspriiche 1 bis 3, dadurch gekenn- 
zeichnet, dafi die Oberpriifung des Betriebszustands der ersten 
virtuellen Maschine (VM) und des Betriebszustand der zweiten 
virtuellen Maschine (VM 1 ) auf Obereinstimmung eine trberprti- 
fung umf afit, ob der Wert des jtingsten Elements (@SP) in einem 
der ersten virtuellen Maschine (VM) zugeordneten Stapelspeicher 
(ST) gleich dem Wert des jtingsten Elements (@SP') in einem der 
zweiten virtuellen Maschine (VM') zugeordneten Stapelspeicher 
(ST 1 ) ist 

Verf ahren nach einem der Anspriiche 1 bis 4, dadurch gekenn- 
zeichnet, dafi die tJberprufung des Betriebszustands der ersten 
virtuellen Maschine (VM) und des Betriebszustand der zweiten 
,virtuellen Maschine (VM 1 ) auf Ubereinstimmimg jeweils vorge- 
nommen wird, nachdem ein Bef ehl des Programms (26) sowohl * 
von der ersten als auch von der zweiten virtuellen Maschine (VM, 
VM') ausgefuhrt worden ist 

Verf ahren nach einem der Anspriiche 1 bis 5, dadurch gekenn- 
zeichnet, dafi die erste und die zweite virtuelle Maschine (VM, 
VM') auf einen gemeinsamen Heap (28) in einem nicht-fluchtigen 
Speicher (20) des Datentragers (10) zugreifen. 



7. Verf ahren nach Anspruch 6, dadurch gekennzeichnet, dafi bei 
der Ausfiihrung eines Bef ehls des Programms (26), der einen 
Schreibvorgang auf den gemeinsamen Heap (28) beinhaltet, der 
Schreibvorgang nur von der ersten virtuellen Maschine (VM) 
ausgeftthrt wird. 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dafi der 
Bef ehl des Programms (26) zuerst von der ersten virtuellen Ma- 
schine (VM) und dann von der zweiten virtuellen Maschine (VM 1 ) 
ausgeftihrt wird, und dafi die zweite virtuelie Maschine (VM 1 ) 
statt des Schreibvorgangs uberprtift, ob im Heap (28) an der zu 
beschreibenden Stelle der einzuschreibende Wert enthalten ist. 

9. Verfahren nach einem der Anspruche 1 bis 8, dadurch gekenn- 
zeichnet, dafi das Programm (26) ein Java Card Applet ist, das zur 
Ausfiihrung durch eine JCVM (Java Card Virtual Machine) vorge- 
sehen ist. 

10. Tragbarer DatentrSger (10), insbesondere Chipkarte oder Chip- 
modul, mit einem Prozessor (12) und einem Betriebssystem (22), 
wobei das Betriebssystem (22) Programmbefehle aufweist, um 
den Prozessor (12) zur Ausfuhrung eines Verfahrens nach einem 
der Anspriiche 1 bis 9 zu veranlassen. 

11. Computerprogrammprodukt, das Programmbefehle aufweist, um 
einen Prozessor (12) eines tragbaren DatentrSgers (10) zu veran- 
lassen, ein Verfahren mit den Merkmalen eines der Ansprttche 1 
bis 9 auszufuhren. 



Zusammenfassung 



Bei einem Verf ahren zur kontrollierten Ausfuhrung eines fiir eine virtuelle 
5 Maschine (VM, VM 1 ) vorgesehenen Programms (26) auf einem tragbaren 
DatentrMger, wobei der Datentrager einen Prozessor aufweist, der minde- 
stens eine erste und eine zweite virtuelle Maschine (VM, VM') ausfuhrt, wird 
das Programm (26) sowohl von der ersten als auch von der zweiten virtuel- 
len Maschine (VM, VM') ausgefuhrt. Falls wahrend der Ausfuhrung des 

10 Programms (26) eine Abweichung des Betriebszustands der ersten virtuellen 
Maschine (VM) von dem Betriebszustand der zweiten virtuellen Maschine 
(VM 1 ) f estgestellt wird, wird die Programmausfuhrung abgebrochen. Ein 
Datentrager und ein Computerprogrammprodukt weisen entsprechende 
Merkmale auf. Die Erfindung stellt eine Technik zur kontrollierten Pro- 

15 grammausfuhrung bereit, die Sicherheitsrisiken durch einen Angriff oder 
eine Betriebsst6rung des Datentragers vermeidet. 



(Fig- 2) 
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